Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Утверждение Регламента управления доступом в объектах КИИ

2 1 9

Цель: определение и установление общих правил, требований и процедур управления доступом к:

значимым объектам критической информационной инфраструктуры (ЗОКИИ);
объектам критической информационной инфраструктуры (ОКИИ), не отнесенным к значимым объектам и в отношении которых принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры.

Регламент направлен на формирование требований по недопущению несанкционированного доступа к ОКИИ (ЗОКИИ) и определяет:

общие требования к системе управления доступом.
методы управления доступом.
объекты и типы доступа.
порядок предоставления и прекращения доступа.

Рекомендации к заполнению карточки:
Приложите скан-копию Регламента в Реестр документов по защите информации (в модуле активов SECURITM). Укажите созданный актив в качестве инструмента к данной защитной мере.

Область действия: Вся организация

Классификация

Тип

Организационная

Реализация

Вручную

Периодичность

Разово

Ответственный

Не определено

Инструменты

Не определено

Для просмотра файла необходимо авторизоваться!

Регламент управления доступом в объектах КИИ.docx

Цепочка мер

Утверждение Порядка планирования мероприятий по ИБ и контроля за их выполнением

Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ

Утверждение Регламента управления доступом в объектах КИИ

Предшествующие меры

№	Этап -1	Этап -2
1				Утверждение Порядка планирования мероприятий по ИБ и контроля за их выполнением	Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ

Ресурсная оценка

	Качественная оценка			Количественная оценка		Итоговая оценка
	Стоимость	Трудозатраты	Сложность	Стоимость, тыс. руб	Трудозатраты, дней/ год	Итоговая оценка
CAPEX ^?	Отсутствует	Низкие	Низкая	0	1	4 - Низкая
OPEX ^?	Отсутствует	Низкие	Низкая	0	1	4 - Низкая

Связанные риски

Риск	Связи
Нарушение требований законодательства в области КИИ из-за отсутствия требуемых законодательством форм и документов в объекте критической информационной инфраструктуры Право	21

Заметки

SECURITM

4 месяца назад

Community

Регламент управления доступом в объектах критической информационной инфраструктуры [наименование организации]

1. Общие сведения

1.1. Настоящий Регламент разработан с учетом положений следующих документов:
Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Приказ ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
ГОСТ Р 50922–2006 «Защита информации. Основные термины и определения».

1.2. Целью разработки данного Регламента является установление [наименование организации] общих правил, требований и процедур управления доступом к:

значимым объектам критической информационной инфраструктуры (далее – ЗОКИИ);
объектам критической информационной инфраструктуры, не отнесенным к значимым объектам и в отношении которых [наименование должности руководителя организации] [наименование организации] принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры (далее – ОКИИ).

2. Термины и определения

2.1. Термины и определения, применяемые для целей настоящего регламента:
Аутентификационная информация (информация аутентификации) – информация, используемая для установления подлинности (верификации) субъекта доступа в информационной (автоматизированной) системе.
Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора (подтверждение подлинности субъекта доступа в информационной (автоматизированной) системе).
Значимый объект критической информационной инфраструктуры – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.
Идентификатор доступа (идентификатор) – уникальный признак субъекта или объекта доступа (представление (строка символов), однозначно идентифицирующий субъект и (или) объект доступа в информационной (автоматизированной) системе).
Идентификация – присвоение субъектам доступа, объектам доступа идентификаторов (уникальных имен) и (или) сравнение предъявленного идентификатора с перечнем присвоенных идентификаторов.
Критическая информационная инфраструктура (КИИ) – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Несанкционированный доступ (НСД) – доступ к информации или к ресурсам автоматизированной информационной системы, осуществляемый с нарушением установленных прав и (или) правил доступа.
Объект доступа – единица информационного ресурса информационной (автоматизированной) системы (файл, техническое средство, узел сети, линия (канал) связи, мобильное устройство, программа, том, каталог, запись, поле записей и иные объекты), доступ к которой регламентируется правилами разграничения доступа и по отношению к которой субъекты доступа выполняют операции.
Объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления [наименование организации].
Пароль – идентификатор субъекта доступа, который является его (субъекта) секретом.
Пользователь – лицо, которому разрешено выполнять некоторые действия (операции) по обработке информации в информационной (автоматизированной) системе или использующее результаты ее функционирования.
Субъект доступа – пользователь, процесс, выполняющие операции (действия) над объектами доступа и действия которых регламентируются правилами разграничения доступа.
Управление доступом – ограничение и контроль доступа субъектов доступа к объектам доступа в информационной системе в соответствии с установленными правилами разграничения доступа.

3. Цель и задачи управления доступом

3.1. Целью реализации управления доступом является недопущение несанкционированного доступа к объектам доступа со стороны субъектов доступа, для которых запрашиваемый доступ не разрешен.

3.2. Реализация процессов управления доступом в ЗОКИИ и ОКИИ достигается решением следующих задач:
управление учетными записями пользователей;
реализация модели управления доступом;
доверенная загрузка средств вычислительной техники (для ЗОКИИ с установленной 1 или 2 категорией значимости);
разделение полномочий (ролей) пользователей;
назначение минимально необходимых прав и привилегий;
ограничение неуспешных попыток доступа в информационную (автоматизированную) систему;
ограничение числа параллельных сеансов доступа (для ЗОКИИ с установленной 1 категорией значимости);
блокирование сеанса доступа пользователя при неактивности;
управление действиями пользователей до идентификации и аутентификации;
реализация защищенного удаленного доступа (при необходимости);
контроль доступа из внешних информационных (автоматизированных) систем.

4. Общие требования к системе управления доступом

4.1. Доступ пользователей к информационным ресурсам ЗОКИИ (ОКИИ) предоставляется ответственным за управление (администрирование) подсистемой безопасности ЗОКИИ (ОКИИ) по согласованию с администратором безопасности ЗОКИИ (ОКИИ) исходя из следующих условий:

доступ необходим для выполнения пользователем должностных обязанностей в соответствии со своей должностной инструкцией;
доступ необходим для выполнения пользователем обязанностей другого пользователя по поручению (в виде служебной записки) руководителя соответствующего подразделения;
доступ необходим для выполнения пользователем обязанностей другого пользователя по указанию (в виде приказа) [наименование должности руководителя организации] [наименование организации];
доступ необходим для выполнения пользователем работ по указанию (в виде приказа) [наименование должности руководителя организации][наименование организации];
доступ необходим для выполнения пользователем работ в ходе реализации контрактов, договоров, заключенных с [наименование организации] (для сотрудников «сторонних» организаций).

4.2. При этом в ЗОКИИ (ОКИИ) запрещается предоставление удаленного доступа непосредственно (напрямую) к программным и программно-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся сотрудниками [наименование организации].

4.3. Физический доступ пользователей к техническим средствам ЗОКИИ (ОКИИ) осуществляется в соответствии с установленным в [наименование организации]порядком доступа на территорию контролируемых зон.

4.4. Пользователи допускаются к информационному ресурсу ЗОКИИ (ОКИИ) на основании заявок, в соответствии с установленным порядком, представленным в пункте 8.

4.5. Допуск к ЗОКИИ (ОКИИ) предоставляется исключительно после ознакомления с локальными актами [наименование организации] и прохождения обучения (инструктажа) по вопросам обеспечения безопасности ЗОКИИ (ОКИИ).

4.6. В ЗОКИИ 1 и 2 категории значимости средства вычислительной техники должны быть оснащены средствами, исключающими несанкционированный доступ к программным и (или) техническим ресурсам средства вычислительной техники на этапе его загрузки. Функциональные возможности таких средств должны обеспечивать:

4.6.1. Блокирование попыток несанкционированной загрузки нештатной операционной системы (среды) или недоступность информационных ресурсов для чтения или модификации, в случае загрузки нештатной операционной системы.

4.6.2. Контроль доступа пользователей к процессу загрузки операционной системы.

4.6.3. Контроль целостности программного обеспечения и аппаратных компонентов средства вычислительной техники на этапе его загрузки.

4.7. Доступ пользователей к программным функциям технических средств ЗОКИИ (ОКИИ) должен осуществляться в соответствии с правилами разграничения доступа и с использованием учетных записей при успешном прохождении процедуры идентификации и аутентификации.

4.8. Средства, реализующие управление доступом, должны обеспечивать:

4.8.1. Ограничение неуспешных попыток входа (доступа) в ЗОКИИ (ОКИИ) в количестве 3 раз за период времени в 10 мин, а также обеспечивать блокирование устройства, с которого предпринимаются попытки доступа, и (или) учетной записи пользователя при превышении пользователем установленного ограничения.

4.8.2. Блокирование сеанса доступа пользователя после 15 мин его бездействия (неактивности) в ЗОКИИ (ОКИИ) или по запросу пользователя. Блокирование должно обеспечить временное приостановление работы пользователя со средством вычислительной техники, с которого осуществляется доступ к ЗОКИИ или ОКИИ (без выхода из ЗОКИИ (ОКИИ)). Для заблокированного сеанса должно осуществляться блокирование любых действий по доступу к информации и устройствам отображения, кроме необходимых для разблокирования сеанса. Блокирование сеанса доступа пользователя в ЗОКИИ (ОКИИ) должно сохраняться до прохождения им повторной идентификации и аутентификации.

4.8.3. В ЗОКИИ 1 категории значимости ограничение числа параллельных (одновременных) сеансов (сессий) доступа для каждой учетной записи пользователя ЗОКИИ. Число параллельных сеансов доступа каждой учетной записи пользователя ЗОКИИ не должно превышать двух. Ограничение может быть установлено, основываясь на идентификаторах пользователей и (или) принадлежности пользователя к определенной роли.

SECURITM

4 месяца назад

Community

5. Методы управления доступом

5.1. В ЗОКИИ (ОКИИ) должен быть реализован ролевой метод управления доступом, предусматривающий управление доступом субъектов доступа к объектам доступа на основе ролей субъектов доступа.

5.2. Список ролей определяется в отношении каждого ЗОКИИ и ОКИИ администраторами безопасности ЗОКИИ (ОКИИ) с учетом особенностей функционирования ЗОКИИ (ОКИИ) и должностных обязанностей (функций) сотрудников [наименование организации]при эксплуатации ЗОКИИ (ОКИИ) и его подсистемы безопасности.
5.3. При этом в обязательном порядке должны быть выделены роли, осуществляющие функции по:

управлению функциями безопасности ЗОКИИ (ОКИИ) и средствами защиты информации;
управлению (администрированию) базами данных, прикладным программным обеспечением, телекоммуникационным оборудованием, рабочими станциями и серверами;
обработке информации в ЗОКИИ (ОКИИ);
обслуживанию помещений, в которых размещаются технические средства ЗОКИИ (ОКИИ) – уборка, обслуживание и ремонт инженерных систем и т.п.;
обслуживанию, ремонту, настройке и контролю работы обеспечивающих функционирование ЗОКИИ (ОКИИ) технических средств и систем.

5.4. Каждой роли должны быть определены минимально необходимые права и привилегии, необходимые для обеспечения функционирования ЗОКИИ (ОКИИ).

5.5. Каждому сотруднику при предоставлении доступа в ЗОКИИ (ОКИИ) должна быть определена одна из ролей, определенных для выбранного ЗОКИИ (ОКИИ).

5.6. Сведения о ролях и их полномочиях детализируются в рамках приказа о системе разграничения доступа в ЗОКИИ (ОКИИ).

5.7. Полномочия пользователей могут уточняться ответственными за управление (администрирование) подсистемой безопасности ЗОКИИ (ОКИИ) по согласованию с администратором безопасности ЗОКИИ (ОКИИ) исходя из должностных обязанностей (функций), возложенных на пользователя.

6. Идентификация объектов доступа

6.1. Администраторами безопасности ЗОКИИ (ОКИИ) должны быть идентифицированы (определены) объекты доступа, в отношении которых реализуется управление доступом.

6.2. В качестве объектов доступа в ЗОКИИ (ОКИИ) следует рассматривать:

6.2.1. Из числа технических средств ЗОКИИ (ОКИИ):

автоматизированные рабочие места пользователей ЗОКИИ (ОКИИ);
серверное оборудование ЗОКИИ (ОКИИ);
оборудование, обеспечивающее функционирование ЗОКИИ (ОКИИ) (сервер синхронизации времени, оборудование локальной вычислительной сети, источники бесперебойного питания и т.п.).

6.2.2. Из числа объектов файловой системы:

файлы и каталоги системного программного обеспечения;
пользовательский каталог;
запускаемые и исполняемые модули прикладного программного обеспечения;
конфигурационные файлы прикладного программного обеспечения;
запускаемые и исполняемые модули программного обеспечения средств защиты информации;
конфигурационные файлы программного обеспечения средств защиты информации;
файлы журналов регистрации событий безопасности;
контейнеры (файлы), в которых хранится аутентификационная информация (или ее образы) пользователей.

6.3. Подробный состав объектов доступа в отношении каждого ЗОКИИ (ОКИИ) детализируется в рамках приказа о системе разграничения доступа в ЗОКИИ (ОКИИ).

7. Типы доступа

7.1. В рамках управления доступом должны рассматриваться следующие типы доступа:

физический доступ к техническим средствам ЗОКИИ (ОКИИ);
доступ к объектам файловой системы.

7.2. В качестве разрешенных к выполнению пользователю или запускаемому от его имени процессу при доступе к объектам файловой системы должны рассматриваться следующие операции:

чтение ( r );
запись ( w );
удаление ( d );
выполнение ( e ).

8. Порядок предоставления доступа

8.1. Формирование запроса

8.1.1. Предоставление доступа к ЗОКИИ (ОКИИ) осуществляется на основании заявок. Формирование заявки осуществляет либо сам сотрудник, которому необходимо предоставить доступ, либо руководитель сотрудника. Работа с заявками осуществляется в соответствии с установленным [наименование организации] порядком. При этом в заявке в обязательном порядке должен быть указан информационный ресурс, к которому необходим доступ, уровень доступа к нему, период, на который требуется предоставление доступа, и обоснование необходимости предоставления доступа.

8.1.2. Все заявки на предоставление доступа должны храниться администратором безопасности ЗОКИИ (ОКИИ) и могут впоследствии использоваться для:

контроля правомерности предоставления доступа при разборе инцидентов информационной безопасности и конфликтных ситуаций;
проверки корректности предоставления доступа к информационным ресурсам.

8.2. Согласование предоставления доступа

8.2.1. Все сформированные заявки на доступ подлежат согласованию.

8.2.2. Согласование производится с:

руководителем подразделения (если заявка сформирована сотрудником подразделения);
администратором безопасности ЗОКИИ (ОКИИ);
лицами, согласование доступа с которыми предусмотрено в рамках локальных актов [наименование организации].

8.2.3. Администратор безопасности ЗОКИИ (ОКИИ) в процессе согласования должен выполнить:

верификацию пользователя – проверку личности пользователя, его должностных (функциональных) обязанностей;
оценку обоснованности доступа к информационному ресурсу и запрашиваемого уровня доступа.

8.3. Ознакомление с документацией

8.3.1. Перед предоставлением доступа к ЗОКИИ (ОКИИ) в обязательном порядке следует ознакомить пользователей с локальными актами [наименование организации] в области обеспечения безопасности КИИ.

8.3.2. Ознакомление должно производиться администратором безопасности ЗОКИИ. Факты ознакомления должны фиксироваться в листах ознакомления и (или) соответствующих журналах.

8.4. Предоставление доступа

8.4.1. Процесс предоставления доступа включает:

создание лицом, ответственным за управление (администрирование) подсистемой безопасности ЗОКИИ, учетной записи пользователя. Формирование реквизитов учетной записи (идентификатора и начальной аутентификационной информации (пароля)) осуществляется в соответствии с Регламентом идентификации и аутентификации;
настройку средств защиты информации лицом, ответственным за управление (администрирование) подсистемой безопасности ЗОКИИ;
настройку программного обеспечения автоматизированного рабочего места и (или) сервера лицом, ответственным за управление (администрирование) подсистемой безопасности ЗОКИИ (при необходимости).

8.4.2. Предоставление доступа пользователю должно осуществляться в течение 2-х рабочих дней со дня согласования заявки.

8.5. Дополнительные сведения

8.5.1. Доступ пользователей к информационным ресурсам ЗОКИИ (ОКИИ) может быть предоставлен без оформления заявки в случае письменного указания[наименование должности руководителя организации][наименование организации].

8.5.2. Доступ к ЗОКИИ (ОКИИ) сотрудникам федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, иных государственных органов, органов прокуратуры и других правоохранительных органов, осуществляющим контрольные мероприятия и обладающим соответствующими полномочиями, осуществляется в соответствии с порядком, установленным законодательством Российской Федерации.

9. Порядок прекращения доступа

9.1. Доступ к ЗОКИИ должен быть незамедлительно прекращен:

при истечении срока предоставления доступа;
при прекращении полномочий пользователя;
по указанию [наименование должности руководителя организации][наименование организации] или администратора безопасности ЗОКИИ (ОКИИ);
в случаях обнаружения факта компрометации учетной записи пользователя.

10. Ответственность

10.1. Администратор безопасности ЗОКИИ (ОКИИ) и лица, ответственные за управление (администрирование) подсистемой безопасности ЗОКИИ (ОКИИ), несут персональную ответственность за:

реализацию управления доступом в ЗОКИИ (ОКИИ);
ненадлежащее исполнение или неисполнение требований, предусмотренных настоящим Регламентом.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.